Privileged Access Management REST API リファレンス
Microsoft Identity Manager (MIM) 2016 では、Privileged Access Management (PAM) という新しいシナリオが追加されました。 PAM を使用すると、組織は、システム管理者やサービス管理者などの高い特権を持つユーザー アカウントの機密性の高いリソースへのアクセス権をより詳細に制御できます。 PAM は、アクセス権が必要な限られた時間のアクセス権 (Just-In-Time (JIT) を提供することで、高い特権アカウント アクセスを制御します。
ユーザーは、次の 2 つの方法のいずれかで、MIM サービスに特権アクセス権 (昇格) を要求できます。
- PAM REST API を使用する。
- PAM PowerShell New-PAMRequest コマンドレットを使用します。
このガイドのトピックでは、PAM REST API について説明します。 PowerShell コマンドレットの使用方法の詳細については、「テスト ラボ ガイド: Microsoft Identity Managerを使用した Privileged Access Management のデモンストレーション」を参照してください。接続サイトで使用できます。
PAM REST API のリソースと操作
PAM REST API は、次のリソースで動作します。
PAM ロール: PAM ロールは、ユーザーのコレクションをアクセス権のコレクションに関連付けます。 アクセス権は、セキュリティ グループへの参照によって定義されます。 すべての PAM ロールには、PAM ロールに昇格する権利を持つユーザー アカウントの一覧 (候補者と呼ばれます) があります。 PAM ロールに対して次の操作を実行できます。
- PAM ロール を取得する
PAM 要求: PAM ロールアクセス権に昇格するユーザーは、PAM 要求を送信し、昇格要求の承認を取得する必要があります。 PAM 要求オブジェクトは、MIM サービスでこの要求のライフサイクルを追跡します。 PAM 要求に対して次の操作を実行できます。
保留中の PAM 要求: ユーザーによって送信された PAM 要求を承認または拒否するために使用されます。 保留中の PAM 要求に対して次の操作を実行できます。
- 保留中の PAM 要求 を取得する
- 保留中の PAM 要求 を承認または拒否する
PAM セッション: PAM REST API を使用する場合、クライアント (Web ブラウザーなど) は PAM REST API エンドポイントとのセッションを持ちます。 このセッションでは、クライアントは REST API エンドポイントに対して認証されます。 PAM セッションでは、次の操作を実行できます。
サービスの詳細については、「PAM REST API サービスの詳細を参照してください。
GitHub の PAM サンプル ポータル
PAM REST API を使用する方法の 1 つは、API を使用するサンプル Web アプリケーションである PAM サンプル ポータルを使用することです。 PAM サンプル ポータルのコードは、GitHub のPAM サンプル リポジトリにあります。 サンプル ポータルをデプロイする方法については、PAM テスト ラボ ガイドを参照してください。